c.m.g
16-03-2009, 08:58
16 marzo 2009 – 1:17 am
http://www.anti-phishing.it/wp-content/uploads/2009/03/facebook-privacy-300x225.jpg
Che il noto portale di social network fosse al centro di polemiche per i rischi connessi alla privacy dei suoi utilizzatori non è una novità, ma un recente bug, segnalato e non ancora risolto, potrebbe seriamente aggravare la situazione del gioiellino di Mark Zuckerberg.
La falla scoperta dal blog Security Ninja consente infatti di accedere ai contenuti di qualsiasi album, il tutto a causa di un basso livello di protezione utilizzato da Facebook superabile grazie ad un attacco a forza bruta (bruteforce). Gli album sono infatti protetti da un token composto da cinque caratteri costituiti dal range “0123456789abcdef” che pur sviluppando un milione di possibili combinazioni rendono comunque bypassabile il sistema.
Nel esempio mostrato da Security Ninja (http://securityninja.co.uk/blog/?p=198) scegliere la propria vittima è estremamente semplice; partendo da un URL tipico di Facebook http://www.facebook.com/album.php?aid=-3&id=1508034566&l=aad9c è sufficiente analizzare i suoi parametri.
Il valore aid= è riferito all’album, id= è invece l’utente, mente l= è l’unico ostacolo da superare visto che i primi due parametri sono forniti direttamente da Facebook. Il problema segnalato lo scorso 12 marzo risulta ancora attivo e come dichiarato dallo stesso autore di Security Ninja non è ancora pervenuta nessuna risposta da parte di Facebook.
E’ possibile che il portale ritenga il problema poco pericoloso dato i tempi degli attacchi a forza bruta, ad ogni modo nuovi occhi indiscreti potrebbero osservare indisturbati gli amici di Facebook.
Ulteriori informazioni: [Full-disclosure] Access any album on any Facebook profile (http://lists.grok.org.uk/pipermail/full-disclosure/2009-March/068364.html)
Fonte: Anti-Phishing Italia (http://www.anti-phishing.it/sicurezza-informatica/2009/03/16/583#more-583)
http://www.anti-phishing.it/wp-content/uploads/2009/03/facebook-privacy-300x225.jpg
Che il noto portale di social network fosse al centro di polemiche per i rischi connessi alla privacy dei suoi utilizzatori non è una novità, ma un recente bug, segnalato e non ancora risolto, potrebbe seriamente aggravare la situazione del gioiellino di Mark Zuckerberg.
La falla scoperta dal blog Security Ninja consente infatti di accedere ai contenuti di qualsiasi album, il tutto a causa di un basso livello di protezione utilizzato da Facebook superabile grazie ad un attacco a forza bruta (bruteforce). Gli album sono infatti protetti da un token composto da cinque caratteri costituiti dal range “0123456789abcdef” che pur sviluppando un milione di possibili combinazioni rendono comunque bypassabile il sistema.
Nel esempio mostrato da Security Ninja (http://securityninja.co.uk/blog/?p=198) scegliere la propria vittima è estremamente semplice; partendo da un URL tipico di Facebook http://www.facebook.com/album.php?aid=-3&id=1508034566&l=aad9c è sufficiente analizzare i suoi parametri.
Il valore aid= è riferito all’album, id= è invece l’utente, mente l= è l’unico ostacolo da superare visto che i primi due parametri sono forniti direttamente da Facebook. Il problema segnalato lo scorso 12 marzo risulta ancora attivo e come dichiarato dallo stesso autore di Security Ninja non è ancora pervenuta nessuna risposta da parte di Facebook.
E’ possibile che il portale ritenga il problema poco pericoloso dato i tempi degli attacchi a forza bruta, ad ogni modo nuovi occhi indiscreti potrebbero osservare indisturbati gli amici di Facebook.
Ulteriori informazioni: [Full-disclosure] Access any album on any Facebook profile (http://lists.grok.org.uk/pipermail/full-disclosure/2009-March/068364.html)
Fonte: Anti-Phishing Italia (http://www.anti-phishing.it/sicurezza-informatica/2009/03/16/583#more-583)